Множественные уязвимости в Microsoft Office Excel

Дата публикации:
10.06.2009
Дата изменения:
27.08.2009
Всего просмотров:
2192
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-0549
CVE-2009-0557
CVE-2009-0558
CVE-2009-0559
CVE-2009-0560
CVE-2009-0561
CVE-2009-1134
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2004 for Mac
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office SharePoint Server 2007
Microsoft Open XML File Format Converter for Mac
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Excel 2000
Microsoft Excel 2002
Microsoft Excel 2003
Microsoft Office Excel Viewer 2003
Microsoft Office Excel 2007
Microsoft Office Excel Viewer 2007
Microsoft Office Excel Viewer
Уязвимые версии:
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2004 for Mac
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Office SharePoint Server 2007
Microsoft Open XML File Format Converter for Mac

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке определенных записей в Excel файле. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать использование поврежденного указателя и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при обработке Excel файлов, содержащих специально сформированный объект записи. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать использование поврежденного объекта и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки индексации массива при обработке Excel файлов, содержащих специально сформированный объект записи. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при копировании строк в Excel файлах, содержащих специально сформированный объект записи. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать переполнение стека и выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за недостаточной обработки полей в Excel файлах. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.

6. Целочисленное переполнение существует из-за ошибки при обработке записей в Excel файлах. Удаленный пользователь может с помощью специально сформированного Excel файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки при обработке Qsir BIFF записей (0x806). Удаленный пользователь может с помощью специально сформированного Excel файла вызвать использование поврежденного указателя и выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Office 2000 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=dd16e243-b8e2-4afb-86b6-4d60214598eb

Microsoft Office XP SP3 :
http://www.microsoft.com/downloads/details.aspx?familyid=dd80ce95-0aec-4493-b9d1-c3dad95c3415

Microsoft Office 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?familyid=10156044-a5a4-4312-98a7-1b1ced625ddb

2007 Microsoft Office System SP1:
http://www.microsoft.com/downloads/details.aspx?familyid=2bcd565a-6acb-407d-80da-0398526ddf99

2007 Microsoft Office System SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=2bcd565a-6acb-407d-80da-0398526ddf99

Microsoft Office 2004 for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5557bfb7-ebb4-4c42-8042-41e830c4e550

Microsoft Office 2008 for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=58326da2-eb75-4b42-b1bc-e70319defb58

Open XML File Format Converter for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d6d9eaa-8442-4184-8886-faab2803bde6

Microsoft Office Excel Viewer 2003 SP3:
http://www.microsoft.com/downloads/details.aspx?familyid=20e6933d-85f8-4cec-9534-893789cd053e

Microsoft Office Excel Viewer:
http://www.microsoft.com/downloads/details.aspx?familyid=ac0530dc-7f63-4ad0-85c1-784ad28156cf

Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1:
http://www.microsoft.com/downloads/details.aspx?familyid=a8be8457-b0b6-455e-907e-d13be883adf2

Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=a8be8457-b0b6-455e-907e-d13be883adf2

Microsoft Office SharePoint Server 2007 SP1 (32-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=862e6ad1-8124-4060-93b1-2b882ef5ce3d

Microsoft Office SharePoint Server 2007 SP2 (32-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=862e6ad1-8124-4060-93b1-2b882ef5ce3d

Microsoft Office SharePoint Server 2007 SP1 (64-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=b7b6e611-2c5d-4639-add9-972055789ecd

Microsoft Office SharePoint Server 2007 SP2 (64-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=b7b6e611-2c5d-4639-add9-972055789ecd

Журнал изменений:

11.06.2009
Изменено описание уязвимости #7, добавлены данные от ZDI.

Ссылки: (MS09-021) Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (969462)
Secunia Research: Microsoft Excel Record Parsing Array Indexing Vulnerability
Secunia Research: Microsoft Excel String Parsing Integer Overflow Vulnerability
ZDI-09-040: Microsoft Office Excel QSIR Record Pointer Corruption Vulnerability
iDefense Security Advisory 06.11.09: Microsoft Excel SST Record Integer Overflow Vulnerability
http://telussecuritylabs.com/threats/show/FSC20090609-01

или введите имя

CAPTCHA